Fortschreitende Verfeinerung von Phishing-Methoden: Die Rolle des QR-Codes

Hacker nutzen QR-Codes, um Zugangsdaten zu entwenden – mit erschreckendem Erfolg.

Seit Ende 2024 haben Forscher von Unit 42 beobachtet, dass Angreifer mehrere neue Taktiken in Phishing-Dokumenten mit QR-Codes anwenden. Eine Taktik besteht darin, dass Angreifer das endgültige Phishing-Ziel mithilfe der Umleitungsmechanismen legitimer Websites verbergen. Eine andere Taktik besteht darin, dass Angreifer Cloudflare Turnstile zur Benutzerüberprüfung einsetzen, wodurch sie Sicherheits-Crawler umgehen und Ziele überzeugend auf eine Anmeldeseite umleiten können. Wir haben festgestellt, dass einige dieser Phishing-Websites speziell auf die Anmeldedaten bestimmter Opfer abzielen, was auf eine Aufklärung vor dem Angriff hindeutet.

Bei herkömmlichen Phishing-Angriffen verwenden Angreifer offensichtliche Links oder Schaltflächen in Phishing-Dokumenten. Angreifer haben damit begonnen, Phishing-URLs in QR-Codes einzubetten, eine Technik, die als QR-Code-Phishing oder Quishing bekannt ist. Diese Strategie verleitet die Empfänger dazu, die Codes mit ihren Smartphones zu scannen, was dazu führen kann, dass sie unwissentlich auf Phishing-Websites zugreifen und ihre Anmeldedaten dem Diebstahl aussetzen.

„Unsere Telemetrie zeigt, dass diese Phishing-Angriffe in den USA und Europa weit verbreitet sind. Die Angriffe betreffen auch verschiedene Branchen, darunter die Medizin-, Automobil-, Bildungs-, Energie- und Finanzbranche“ – Unit 42. 

QR-Code-Phishing – Wie funktioniert es?

Ein QR-Code ist ein maschinenlesbares, scanbares Bild, das verschiedene Arten von Informationen speichern kann, darunter Zahlen, Text oder URLs. Nutzer scannen diese Codes mithilfe der Kameraanwendungen ihrer Smart-Geräte, die dann beispielsweise eine Website im Browser öffnen oder eine Telefonnummer wählen.

Abbildungen 1 und 2 verdeutlichen, dass QR-Code-Phishing-Angriffe oft so gestaltet sind, dass sie wie offizielle elektronische Signaturdokumente von Diensten wie DocuSign oder Adobe Acrobat Sign wirken. Tatsächlich stammen diese Dokumente jedoch nicht von den genannten Anbietern. Durch das Einbetten von Phishing-URLs in QR-Codes wird es für herkömmliche Sicherheitsmechanismen deutlich schwieriger, die tatsächliche Zieladresse zu erkennen und zu blockieren.

Quelle: Unit 42 Grafik 1

 

Quelle: Unit 42 Grafik 2

Angreifer gestalten Phishing-Dokumente oft so, dass sie vertrauliche oder dringende Themen aufgreifen, die Nutzer dazu verleiten, unüberlegt darauf zuzugreifen – etwa Gehaltsabrechnungen oder Mitteilungen der Personalabteilung (Abbildung 3). Um das Misstrauen zu verringern, integrieren sie Firmenlogos, scheinbar legitime E-Mail-Adressen oder relevante Daten, sodass die gefälschten Dokumente authentisch wirken. Während diese Methoden nicht neu sind, zeigen aktuelle Phishing-Kampagnen eine zunehmende Raffinesse in ihren Täuschungstechniken.

Quelle: Unit 42 Grafik 3

Cloudflare Turnstile bietet ein kostenloses Abonnement und ermöglicht eine Verifizierung ohne direkte menschliche Interaktion – ein Vorteil, den Angreifer für ihre Zwecke ausnutzen. Bedrohungsakteure missbrauchen häufig legitime Produkte, um ihre Angriffe zu verschleiern, was jedoch nicht bedeutet, dass diese Produkte selbst unsicher oder schädlich sind.

Wir haben zudem beobachtet, dass Angreifer Weiterleitungen zu echten Anmeldeseiten oder Google-404-Fehlerseiten einrichten, wenn Mechanismen zur menschlichen Verifizierung den Zugriff blockieren. Dadurch erschweren sie es Sicherheits-Crawlern, ihre Phishing-Infrastruktur zu erkennen.

Im letzten Schritt sammeln die Angreifer Anmeldeinformationen, indem sie gefälschte Login-Seiten nutzen, die seriöse Anbieter wie Microsoft 365 nachahmen oder mit dem Firmenlogo des Opfers versehen sind. Beim QR-Code-Phishing enthalten die betrügerischen URLs oft bereits den Benutzernamen oder die E-Mail-Adresse des Opfers. So erscheint die E-Mail-Adresse auf der gefälschten Login-Seite bereits vorausgefüllt (siehe Abbildungen 4 und 5), was die Eingabe des Passworts als einzigen notwendigen Schritt erscheinen lässt. Diese Täuschung verstärkt den Eindruck von Legitimität und Vertrautheit, um das Opfer zur Preisgabe seiner Zugangsdaten zu verleiten.

Quelle: Unit 42 Grafik 4

 

Quelle: Unit 42 Grafik 5

QR-Betrug vermeiden

• Scannen Sie niemals QR-Codes, die Sie von Fremden erhalten haben
• Selbst wenn eine Nachricht von jemandem stammt, den Sie kennen, überprüfen Sie zunächst, ob Ihr Kontakt Ihnen tatsächlich den Code gesendet hat, bevor Sie darauf klicken
• Wenn eine Nachricht von einer Regierungsbehörde stammt, rufen Sie diese an oder senden Sie ihr eine E-Mail, um sicherzustellen, dass sie legitim ist
• Einige Antivirenprogramme verfügen über eine QR-Scan-Funktion, die verhindert, dass Sie schädliche Software herunterladen
• Geben Sie keine persönlichen Daten oder andere sensible Informationen auf Websites ein, die Sie nicht kennen

Weitere Informationen lesen Sie hier + Möglichkeiten zum Schutz und Schadensbegrenzung.

---

Bild/Quelle: https://depositphotos.com/de/home.html